Люди опытные! Подскажите, пожалуйста!
Есть сервачок на ubuntu server 9.10 (samba + маршрутизатор + прозрачный кальмар). Все бы ничего, так вот только возникла проблема с iptables: как только ставлю для цепочки FORWARD по умолчанию DROP, отваливается инет на рабочих станциях. Подскажите в чем может быть проблема....
Вот собственно сам скрипт(пускается при загрузке):
#!/bin/sh
iptables -F
iptables -A INPUT -i lo -j ACCEPT
iptables -A FORWARD -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -A OUTPUT -p tcp -m tcp --tcp-flags SYN,RST SYN -j TCPMSS --clamp-mss-to-pmtu
iptables -t nat -A PREROUTING -i ppp0 -p tcp -d 91.197.193.127 --dport 80 -j DNAT --to-destination 192.168.0.2:81 # портмаппинг на web-сервер внутри сети
iptables -A FORWARD -i ppp0 -d 192.168.0.2 -p tcp --dport 80 -j ACCEPT
iptables -t nat -A PREROUTING -p tcp --dport 80 ! -d 192.168.0.0/24 -j REDIRECT --to-port 3128
IPS=`cat /etc/squid/sarg.usertab | grep -Po "(\d{1,3}\.){3}\d{1,3}"` # берем из /etc/squid/sarg.usertab список ip, кому давать инет
for b in $IPS;
do
iptables -A INPUT -i eth0 -p tcp --dport 3128 -s $b -j ACCEPT # даем инет каждому ip из списка
done
iptables -A INPUT -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate ESTABLISHED,RELATED -j ACCEPT
iptables -A FORWARD -m conntrack --ctstate NEW -i eth0 -p tcp -m multiport --dports 25,110,443,53,993,5190,80,5222 -j ACCEPT
iptables -t nat -A POSTROUTING -o ppp0 -j SNAT --to-source 91.197.193.127
iptables -A INPUT -i eth0 -s 192.168.0.2 -p tcp --dport 80 -j ACCEPT # на серваке есть hand-made приблуда и sarg, которые можно посмотреть только с одной машины в сети
iptables -A INPUT -p tcp -m multiport --dports 22,10000 -j ACCEPT
iptables -A INPUT -i eth0 -p tcp -m multiport --dports 139,445,53 -j ACCEPT
iptables -A INPUT -i eth0 -p udp -m multiport --dports 137,138,123,53 -j ACCEPT
iptables -A INPUT -p icmp --icmp-type 8 -j ACCEPT
iptables -A FORWARD -p icmp -j ACCEPT
iptables -P OUTPUT ACCEPT
iptables -P INPUT DROP
iptables -P FORWARD DROP # собственно ВОТ ЭТОТ момент и интересен. при таком раскладе ниодно правило цепочки FORWARD не работает
P.S.:
ppp0 - VPN смотрящий в инет;
eth0 - внутренний интерфейс;
eth1 - внешний интерфейс.
Заранее благодарен за советы!